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ACTA DE CONSTATACIÓN 


En el día de la fecha se procede a labrar la presente Acta de Constatación, en los términos del artículo 31 del 
Anexo I al Decreto N° 1558/01 y modificatorios. 


La Agencia de Acceso a la Información Pública, en su carácter de Autoridad de Aplicación de la Ley N° 25.326 
de Protección de Datos Personales, tomó conocimiento a través de varios portales de noticias la producción de un 
incidente de seguridad en el que algunos individuos no-identificados filtraron escuchas telefónicas, legajos y 
huellas digitales en poder del organismo investigado. 


Toda vez que estos incidentes podían constituir violaciones a la Ley N° 25.326 y, en particular, de sus artículos 9 
y 10 que protegen la seguridad y la confidencialidad de la información personal, se dispuso iniciar una 
investigación de oficio que tramitó en el expediente de la referencia. 


En el marco de las competencias atribuidas por el artículo 29 inc. d) y e) y DA N° 1002/17, esta Dirección 
Nacional de Protección de Datos Personales de la Agencia intimó a Policía Federal Argentina para que en el plazo 
máximo de DIEZ (10) días hábiles: a) indicara desde cuándo se tiene conocimiento de la filtración de los datos y 
qué medidas fueron adoptadas en consecuencia; b) informara cuáles fueron las fallas de seguridad que 
posibilitaron dichas filtraciones; y c) detallara qué tipo y cantidad de datos personales fueron comprometidos. 


Dicha intimación se remitió al Comisario General en fecha 13 de agosto de 2019, con copia al Ministerio de 
Seguridad de la Nación. 


Al no recibir respuesta a la requisitoria, se labró el Acta de Constatación de fecha 2 de septiembre de 2019 por la 
que se dispuso imputar a “Policía Federal Argentina” por la comisión de una INFRACCIÓN LEVE consistente en 
no responder la intimación cursada por esta Dirección Nacional pese a encontrarse debidamente notificada; y una 
INFRACCION GRAVE por mantener bases de datos locales, programas o equipos que contengan datos de 
carácter personal sin las debidas condiciones de seguridad, todo ello de conformidad con lo dispuesto en los 
Puntos 1 inc. a) y 2 inc. k) del Anexo I a la Disposición 7/05 y modificatorias, respectivamente. 


En respuesta al Acta de Constatación labrada, Policía Federal Argentina remitió las actuaciones N° EX-2019- 
72766123- -APN-DGAYRPHPFA iniciadas en su jurisdicción con motivo de la investigación de oficio 
sustanciada por esta Dirección Nacional. A orden N° 9 se incorporó copia de dichas actuaciones en las que 
Policía Federal Argentina, informa que: 


(1) Uno de los vectores de ataque correspondieron a “la intrusión de los ciberdelincuentes a diversas casillas de 
correos comerciales (Hotmail, Gmail) utilizadas por las dependencias policiales, mediante una técnica de 
“Phishing” (...) en razón de que en el sitio de la Página Oficial https://supbienestar.gob.ar se encontraba 
alojado un formulario malicioso que simulaba ser de un acceso al servicio de Onedrive para la descarga de un 
archivo, técnica utilizada por el ciberdelincuente para apoderarse de los nombres de usuarios y contraseñas de 
acceso”; (11) Se judicializó el caso en una causa en la que interviene el Juzgado Nacional en lo Criminal de 
Instrucción N° 6 a cargo de la Dra. María Alejandra PRIVITOLA, Secretaría N° 118 del Dr. Mariano FREIJO; 
(111) Se tomaron medidas concretas para mitigar este tipo de amenazas; entre otras cuestiones. 


En virtud de la información aportada y a fin de dilucidar los hechos del caso, esta Dirección Nacional solicitó a la 
investigada que acompañara en las actuaciones las Políticas de Seguridad de la Información para la Policía 
Federal Argentina existentes al momento de producirse el hecho investigado. 


En virtud de dicha requisitoria, Policía Federal Argentina inició una nueva actuación en su jurisdicción, la que se 
encuentra agregada a orden N° 13, y por la que informa que las Políticas de Seguridad existentes al momento de 
producirse el hecho investigado fueron las publicadas en el Suplemento de la Orden del Día Interna N° 152, bajo 
el Nro. de resolución 002281, del 12 de agosto del 2016 (agregadas a orden N° 14) 


Analizadas las Políticas de Seguridad de Policía Federal Argentina se advierte, entre otras cuestiones, que: 


(1) Se encuentra previsto la utilización de correos electrónicos institucionales con mecanismos y controles de 
seguridad adecuados; 


(11) Su política incluye la definición, implementación y revisión regular de compromisos de confidencialidad y no 
divulgación de información, y la coordinación de capacitación a tales efectos. 


(111) Se prevé notificaciones e información al personal policial sobre la importancia del uso del correo 
institucional; 


(1v) Se dispone la clasificación de la información por niveles, en los que se contempla procedimientos de manejo 
seguro de la información. 


(v) Se prevé el mantenimiento de los sistemas al día con las últimas actualizaciones de seguridad disponibles; y la 
revisión periódica del contenido de software y datos de los equipos de procesamiento que sustentan procesos 
críticos de P.F.A., investigando formalmente la presencia de archivos no aprobados o modificaciones no 
autorizadas. 


(vi) La redacción de normas y procedimientos que incluyan, entre otros aspectos, “c) Controlar el acceso y las 
modificaciones al código instalado; d) Utilizar herramientas para la protección contra la infección; del software 
con código malicioso; e) Ejecutar controles y tests de evaluación de seguridad periódicamente”. 


A criterio de este organismo, las Políticas de Seguridad existentes al momento de producirse el incidente 
resultaron adecuadas en relación al tratamiento de datos que realiza la fuerza policial. 


Asimismo, las acciones de detección y actuación posterior resultaron proporcionales y pertinentes a los efectos de 
mitigar los riesgos producidos por el incidente de seguridad. 


No obstante, las acciones preventivas no resultaron suficientes para evitar, razonablemente, la producción del 
incidente de seguridad acontecido. 


Al respecto cabe señalar que el apartado 10 “Cumplimiento Normativo. Aspectos generales” de las Políticas de 
Seguridad de la Policía Federal Argentina estipula que los Jefes de Dependencia tienen la obligación de velar por 
la correcta implementación y cumplimiento de las normas y procedimientos de seguridad establecidos en la 
Política, dentro de su área de responsabilidad. Asimismo, todo el personal Superior, Oficiales, Jefes y Oficiales 
Subalternos debe, con carácter obligatorio, conocer el sentido y alcance de dicha Política y fiscalizar en el 
ambiente de su incumbencia que la misma sea cumplida de conformidad con la normativa vigente. 


Sin embargo, de las constancias obrantes en autos no se desprende que se haya dado cabal cumplimiento con el 
apartado descripto, puesto que no se fiscalizó adecuadamente el uso obligatorio de los correos electrónicos 
institucionales. 


La investigada reconoce expresamente que ciertas dependencias policiales utilizaron casillas de correos 
comerciales como “Hotmail” o “Gmail” en lugar de los correos institucionales, en donde se subió información 
clasificada como confidencial. 


En relación a la vulnerabilidad producida en el servidor del aplicativo https://supbienestar.gob.ar, la investigada 
manifestó mediante Informe IF-2019-80081802-APN-SCIBH+PFA que: “la información (vulnerada) fue obtenida 
mediante la inyección de código PHP que tuvo lugar en una vulnerabilidad del PHP 5.6.3 de panel webmail”, se 
desprende que la versión del software utilizado por Policía Federal Argentina adolecía de diversas 
vulnerabilidades de seguridad de conocimiento público, según “Common Vulnerabilities and Exposures” (CVE): 
https://www.cvedetails.com/version/178179/PHP-PHP-5.6.3.html. 


Por todo lo expuesto, esta Dirección Nacional considera que Policía Federal Argentina incumplió las previsiones 
dispuestas en el artículo 9 de la Ley N° 25.326 Protección de Datos Personales, que disponen la obligación en 
cabeza de los responsable o usuario del archivo de datos de adoptar las medidas técnicas y organizativas que 
resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su 
adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o 
no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 


Asimismo, la utilización de correos electrónicos no institucionales, por parte de ciertas dependencias policiales, 
para la transmisión de información confidencial en franca violación a las políticas de seguridad de la información 
de la fuerza, resulta violatorio de lo dispuesto en el artículo 10 de la Ley N° 25.326. Dicha norma dispone que el 
responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados 
al secreto profesional respecto de los mismos, subsistiendo tal obligación aun después de finalizada su relación 
con el titular del archivo de datos. 


Por último, la investigada no se ha expedido respecto de la falta de respuesta a la requisitoria inicial cursada por 
esta Dirección Nacional mediante Nota N° NO-2019-72377286-APN-DNPDPRAAIP. 


En virtud del análisis precedentemente expuesto esta Dirección considera prima facie que la conducta de 
POLICÍA FEDERAL ARGENTINA resulta violatoria de los artículos 9 y 10 de la Ley N° 25.326. 


El artículo 29 de la Ley N° 25.326 le atribute a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la 
facultad de imponer las sanciones administrativas que en su caso correspondan por violación a las normas de la 
ley y de las reglamentaciones que se dicten en su consecuencia. 


Por su parte, el artículo 31 de la misma norma dispone que “/s]in perjuicio de las responsabilidades 
administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la 
responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones 
penales que correspondan, el organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, 
multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-), clausura o cancelación del archivo, registro o 
banco de datos”. 


En otro orden, la conducta de no proporcionar en tiempo y forma la información solicitada por la DIRECCION 
NACIONAL DE PROTECCION DE DATOS PERSONALES cursada mediante Nota N° NO-2019-72377286- 
APN-DNPDP+HAAIP, en el ejercicio de las competencias que tiene atribuidas, encuadra en la comisión de UNA 
(1) infracción leve, y por la que corresponde aplicar una sanción de hasta CUATRO (4) APERCIBIMIENTOS, 
SUSPENSION DE UNO (1) a TREINTA (30) DIAS y/o MULTA de PESOS VEINTICINCO MIL UNO ($ 
25.001,00) a PESOS SESENTA MIL ($ 80.000,00). 


Cabe señalar que atento lo expuesto, y toda vez que, con la presente Acta de Constatación, se modifican 
sustancialmente los cargos imputados en el Acta de Constatación de fecha 2 de septiembre de 2019 (N° ACTA- 
2019-79220643-APN-DNPDPHAAIP), ésta última se deja sin efecto. 


Asimismo, se deja constancia que la presente Acta de Constatación se labra conforme lo dispuesto en el artículo 
19 de la Ley N° 27.275 modificada por el Decreto 746/17 que establece como Autoridad de Aplicación de la Ley 
N° 25.326 a la Agencia de Acceso a la Información Pública y en virtud de lo dispuesto por el Decreto 899/17 y las 
competencias asignadas por la Decisión Administrativa 1002/17 a la Dirección Nacional de Protección de Datos 
Personales. 


Por lo expuesto, CÍTESE Y EMPLÁCESE POR EL PLAZO DE DIEZ (10) DÍAS HÁBILES A “POLICIA 
FEDERAL ARGENTINA” para que presente su descargo por escrito y ofrezca las pruebas que hacen a su 
derecho, conforme lo dispone el artículo 31 inciso 3) apartado g) del Anexo I del Decreto N° 1558/01 y 
modificatorios. 
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